DDoS 방어존(스크러빙센터)이란? 엔터프라이즈 보안의 작동 원리

기본 DDoS 방어로 막을 수 없는 대규모 공격이 들어왔을 때, 마지막으로 의지할 수 있는 것이 DDoS 방어존(스크러빙센터, Scrubbing Center)입니다. 이 글은 방어존이 일반 방어와 어떻게 다른지, 언제 필요한지, 도입 시 무엇을 확인해야 하는지를 정리합니다.

DDoS 방어 3계층 — 어디까지 막을 수 있나

Layer 1 — 네트워크 ACL / 방화벽

서버 자체의 iptables, AWS Security Group, Cloudflare 무료 플랜 수준. 단순 IP 차단 정도. 수십 Gbps 공격 앞에서는 방화벽 자체가 마비.

Layer 2 — IDC 네트워크 레벨 L3/L4 방어

호스팅사가 IDC 네트워크 입구에서 SYN/UDP/ICMP Flood를 자동 차단. JPServer는 모든 서버에 무료 제공. 일반적으로 수십~수백 Gbps까지 견딤.

Layer 3 — 스크러빙센터 (DDoS 방어존)

전 세계 분산 데이터센터에 설치된 전용 트래픽 정화 시설. Tbps 규모 공격까지 흡수·정화 후 깨끗한 트래픽만 서버로 전달.

스크러빙센터 작동 원리

1단계 — BGP 라우팅 변경 (자동 또는 수동)

공격이 감지되면 BGP 경로를 변경해 모든 인바운드 트래픽을 스크러빙센터로 우회시킵니다. 평소에는 직접 서버로 가는 트래픽이 공격 시점에만 정화 시설을 거쳐갑니다.

2단계 — 다층 트래픽 분석

스크러빙센터에서는 다음 작업이 1초 이내에 일어납니다.

  • Volumetric 공격 필터링: SYN/UDP/ICMP Flood, DNS Amplification, NTP Reflection
  • Protocol 공격 검사: 잘못된 TCP 플래그, 비정상 패킷 헤더
  • Application 공격 분석: HTTP Flood, Slowloris, Cache Bypass
  • 챌린지-응답: JavaScript 챌린지, CAPTCHA로 봇 vs 사람 구분

3단계 — 깨끗한 트래픽만 서버로 전달

악성 트래픽은 스크러빙센터에서 폐기되고, 정상 트래픽만 GRE 터널 또는 직접 라우팅으로 원래 서버에 도달합니다.

4단계 — 공격 종료 후 자동 복귀

공격이 멎으면 BGP 경로를 원래대로 복원. 사용자에게는 공격 사실 자체가 보이지 않음.

일반 방어 vs 스크러빙센터 — 핵심 차이

항목 IDC L3/L4 방어 스크러빙센터
처리 용량 수십~수백 Gbps Tbps 단위
L7 공격 대응 ❌ (네트워크 레벨만) ✅ (애플리케이션까지)
글로벌 분산 ❌ (IDC 단일 지점) ✅ (대륙별 분산)
서비스 무중단 ⚠️ (대규모 공격 시 일부 영향) ✅ (BGP 우회로 무중단)
비용 보통 무료 월 30만 원~
도입 시간 즉시 설정 1~3일

스크러빙센터가 필요한 신호

다음 중 하나라도 해당하면 도입을 고려해야 합니다.

신호 1 — 공격 규모가 100Gbps를 자주 넘는다

IDC 기본 방어로는 점점 한계. 공격자도 부트넷 규모를 늘리는 추세.

신호 2 — L7 (애플리케이션) 공격이 들어온다

HTTP Flood, 정상 사용자처럼 보이는 봇 트래픽. 네트워크 레벨 방어로는 구분 불가.

신호 3 — 다운타임 1분의 비용이 너무 크다

이커머스·게임·금융처럼 분 단위 매출 손실이 발생하는 비즈니스.

신호 4 — 평판·브랜드 가치 보호가 우선

뉴스에 “DDoS 공격으로 서비스 중단” 헤드라인이 뜨면 오는 평판 손실.

신호 5 — 경쟁사·악의적 사용자의 표적

게임 길드전, 경쟁사 신제품 발표일, 정치·종교적 표적 — 공격 동기가 분명한 비즈니스.

도입 시 확인할 5가지

1. SLA 보장 수준

“99.9% 가용성”, “공격 흡수 보장 용량 Xbps” 같은 SLA를 계약서에 명시.

2. 응답 시간

“공격 감지 후 정화 시작까지 N초 이내”를 보장하는지 확인. 60초 이상은 사실상 무의미.

3. False Positive 율

정상 사용자를 봇으로 오인해 차단하는 비율. 너무 높으면 매출 손실.

4. 글로벌 거점 수

거점이 많을수록 우회 효율·정화 용량이 증가. 아시아 거점이 있는지가 한국·일본 트래픽에 중요.

5. 비용 모델

  • 정액제: 월 N만 원 (공격 유무 무관)
  • 종량제: 평소 저렴, 공격 시 사용량 청구 (대규모 공격 시 청구서 폭탄 가능)
  • 하이브리드: 기본 정액 + 한도 초과 시 종량

비즈니스 트래픽 패턴에 맞는 모델 선택.

JPServer의 DDoS 방어존 옵션

JPServer는 다음 3단계로 DDoS 방어 서비스를 제공합니다.

  1. 네트워크 방어 (무료): 모든 서버에 L3/L4 자동 방어. 표준 공격 차단.
  2. 웹 프록시 방어 (월 5만 원): L7 HTTP/HTTPS 공격까지 대응. 일반 웹사이트에 충분.
  3. 방어존 Enterprise (월 30만 원): Tbps 규모 흡수, 다층 정화, BGP 우회. 대규모 서비스용.

정리

대부분의 비즈니스는 무료 L3/L4 방어 + L7 옵션으로 충분합니다. 다만 공격 규모가 커지거나 L7 공격이 들어오는 시점부터는 방어존이 필수입니다. 어느 단계가 맞는지 모르겠다면 무료 보안 상담에서 트래픽·공격 이력을 분석해 드립니다.